600 millones de smartphones Samsung en peligro.
Con alguna que otra variación, ese es el titular de muchos artículos que tomaron la noticia sobre una vulnerabilidad encontrada en Swiftkey – que es el mejor teclado del mundo casi sin discusión – y que permitiría ejecutar código «maligno» a nivel de superusuario. No quedan dudas, ese tipo de titular uno quiere entrar a leer la nota porque o tiene un smartphone Samsung o tiene algún conocido con uno. Y si, atrapa.
Una vez con la nota leída tenemos varias respuestas pero también nos quedan varias dudas. En este caso se sabe que los modelos que podrían tener este problema son Galaxy S3, S4, S5, S6, S6 Edge y los Galaxy Note 3 y Note 4. La brecha se achica ya que son modelos de gama alta.
Pero bien, ¿y de qué trata el exploit en particular? Resulta que un investigador llamado Ryan Welton detectó que la actualización manual de los diccionarios de Swiftkey en esos modelos se envían en texto plano en lugar de cifrarse lo que le brinda una hermosa puerta trasera para que, mediante un Proxy y generando un DNS hijacking, pueda «engañar» al smartphone. Si esto sucede, en lugar de un diccionario el programa descargará un paquete que se puede autoejecutar a discreción del atacante y casi hacer lo que éste quiera sin que el dueño del equipo se entere.
Seguramente a más de un usuario que tiene Samsung le pudo haber corrido una gota helada por la espalda que quizás molestó al llegar al final de la misma. Pero detengámonos un poco en el exploit y analicemoslo mejor.
1) Para que suceda, el usuario tiene que estar conectado en una red «hackeada» (WiFi público).
2) Si lo anterior pasa, además, el usuario tiene que actualizar el diccionario de su teclado manualmente.
Es decir, hay que tener muchísima mala suerte para que, en caso de que alguien cree una infraestructura man-in-the-middle (hombre en el medio) con la intención de bypassear un request cuando sea al sitio de Swiftkey, a uno de los conectados se le ocurra actualizar el diccionario de su teclado.
Mirá como funciona el exploit:
Ahora yo te pregunto: ¿alguna vez actualizaste el diccionario de tu teclado?
Te respondo: Es probable que alguna vez, y me la estoy jugando mucho. Pero recordá que si estás leyendo esto sos, al menos, un usuario con conocimientos intermedios a avanzados y es probable que tu perfil de usuario no sea mayor al 5% del total.
Entonces nos queda más del 90% de la gente que nunca actualizó el diccionario de su teclado. Es un hecho.
Hagamos una analogía con algo más «terrenal». Imaginemos el siguiente titular:
30 millones de Argentinos en peligro por una bacteria peligrosa.
La noticia hablaría de una bacteria peligrosa, que ataca a las personas mayores de 12 años y golpea con fuerza al sistema inmunológico y genera daños irreparables si no es tratada a tiempo, se centraría en los problemas que genera y si es o no curable.
Tendría un enlace a la investigación, pero no detendría demasiado en los detalles. Así sería la nota si lo que queremos es generar «miedo» o por lo menos impacto.
Imaginemos ahora que la investigación determina que para contraer esta bacteria la persona debería tener su sistema inmune muy deprimido, tener deficiencias gástrointestinales y además, que la misma se encuentra en las aguas servidas, por lo que para sufrirla habría que tomar agua contaminada.
¿Se entiende a lo que voy? El espectro de posibilidades se dispararía hacia abajo y dejaría de tener impacto.
Entonces la noticia no es noticia porque a decir verdad, es cuasi imposible que te hackeen por tener Swifktey.
Creo que, como parte (muy pequeña, eso si) de la prensa tecnológica, no debemos acudir al sensacionalismo a la hora de informar.
Si bien la noticia es bastante sensacionalista, esto también deja mal parado el hecho de cometer un error garrafal de seguridad si permitís que se ejecute cualquier cosa en una actualización de diccionario y estoy seguro de que varias cabezas van a rodar por eso.
Para mi por ese lado es el importante y no el hecho de que miles de doñas rosas van a estar en estado de pánico porque si «Galaxy» puede tener un «virus».
Es solo cuestión de horas para que parcheen esto antes de que las acciones les empiecen a bajar.
Me hiciste acordar que tengo que actualizar el diccionario del SwiftKey. Aunque tengo un Moto G y wi-fi con contraseña jaja.
Mientras leía la nota me preguntaba si esa clases de artículos no son «promocionados» por la competencia de Samsung?
Excelente como siempre!
Creo que el sensacionalismo es algo que esta muy de moda ultimamente en muchos sectores… A mi me toca de cerca en el de ciencia. Ves noticias que dicen «se encontro la cura al cancer» y cuando lees el paper te encontras con que el laboratorio pudo eliminar el 75% de las celulas malignas en una cepa particular de raton de laboratorio en condiciones ultracontroladas (cosa que no es para nada menor, pero dista mucho de ser LA CURA DEL CANCEEEEEEEER!!!!1111!!uno)
Saludos!
Según lo que leí en Ars Technica, (aunque no ahondé demasiado en otras fuentes, aunque por lo gral allí son bastante serios y saben de lo que están hablando) el tema es que la actualización se haría periódicamente y de manera automática.
«periodically query an authorized server to see if updates are available for the keyboard app or any language packs that accompany it»
Pueden leer más aquí.
Saludos!!
Las versiones de swiftkey afectadas son las que vienen de fabrica. La del play store no están afectadas. Todos los que no usen el teclado que vienen con los samsung no estarían afectados. Asi que sí es bastante sensacionalista la noticia.
Lamentablemente aunque no se use el teclado de fábrica de Samsung, seguís siendo vulnerable. El bajo impacto es porque «el hacker» debería esperar pacientemente a que tu teléfono se conecte con el server de update, lo cual ocurre pocas veces, y deberías estar en una wifi pública «comprometida».
Fuente: el art. que cité más arriba. Para los vagos:
«For the time being, there’s little people with vulnerable phones can do to prevent attacks other than to avoid unsecured Wi-Fi networks. Even then, those users would be susceptible to attacks that use DNS hijacking, packet injection, or similar techniques to impersonate the update server. There is also no way to uninstall the underlying app, even when Galaxy owners use a different keyboard. In practical terms, the exploit requires patience on the part of attackers, since they must wait for the update mechanism to trigger, either when the phone starts, or during periodic intervals.»
Analogía a las noticias argentinas?
Una bacteria peligrosa?!!!… Una bacteria peligrosa?!!!!!……dios mio!!!… huyamos al vault 101
Ahora en serio… la tendencia amarillista ya se vuelve costumbre x su gran efecto en las masas…
Por eso utilizo Windows phone 8.1 así me evito problemas con swif key o androids. maktub.
Por eso utilizo Windows phone 8.1 asà me evito problemas con swif key o androids. maktub.
Yo deje de usar Swiftkey hace rato, en el Nexus 5 hacia que se cuelgue todo por un rato largo, hacia todo mas lento y pesado. Un dolor de bolas.
Cambie al teclado de google, que desde las ultimas actualizaciones mejoro mil veces y me olvide de todos los problemas, anda fluido y esta buenisimo.
La verdad estoy re enganchado con esta web muy buenos sus articulos abri como 30 pestañas jaja sigan asi
Probe Fleksy el mes de prueba y ahora estoy con SwiftKey pero extraño horrores el anterior. Mucho más práctico